Compartilhar via

Criar um prefixo de endereço IPv4 personalizado no Azure

  • Artigo

Neste artigo, você aprenderá a criar um prefixo de endereço IPv4 personalizado usando o portal do Azure. Você prepara um intervalo para provisionar, provisiona o intervalo para alocação de IP e habilita o anúncio de intervalo pela Microsoft.

Um prefixo de endereço IPv4 personalizado permite que você traga seus intervalos de IPv4 para a Microsoft e associe-os à sua assinatura do Azure. Você mantém a propriedade do intervalo, enquanto a Microsoft teria permissão para anunciá-lo na Internet. Um prefixo de endereço IP personalizado funciona como um recurso regional que representa um bloco contíguo de endereços IP de propriedade do cliente.

Para este artigo, escolha entre o portal do Azure, a CLI do Azure ou o PowerShell para criar um prefixo de endereço IPv4 personalizado.

Modelo Global/Regional versus Unificado

Antes de integrar seu intervalo ao Azure, você precisará decidir sobre o modelo que funcionaria melhor para sua arquitetura. Para BYOIPv4, o Azure oferece dois modelos de implantação: "global/regional" e "unificado".

  • O modelo Global/Regional usa um paradigma pai/filho. Nesse paradigma, a WAN (Rede de Longa Distância) da Microsoft anuncia o intervalo global (pai) e as respectivas regiões do Azure anunciam os intervalos regionais (filho). Por padrão, os intervalos globais podem ter de /21 a /24 de tamanho, e os intervalos regionais podem ter de /22 a /26 de tamanho. Os intervalos regionais dependem do tamanho do respectivo intervalo pai e devem ser pelo menos um nível menor. Por exemplo, um intervalo global usando /23 permitiria um intervalo regional de /24 a /26. Somente o intervalo global precisa ser validado como parte do provisionamento. Os intervalos regionais são derivados do intervalo global de maneira semelhante à forma como os prefixos de IP públicos são derivados dos prefixos de IP personalizados.

  • O modelo unificado é um sistema simplificado em que a WAN (Rede de Longa Distância) da Microsoft e a região do Azure anunciam o mesmo intervalo. Por padrão, um intervalo unificado pode estar em qualquer lugar de /21 a /24 de tamanho.

  • A escolha do modelo depende do escopo da integração desejada. Por exemplo, se o plano envolver apenas a integração de um intervalo a uma única região do Azure, o modelo unificado será a opção mais lógica e evitará a sobrecarga de gerenciamento. Se sua organização estiver procurando implantar intervalos BYOIPv4 em várias regiões, potencialmente distribuídas entre diferentes equipes dentro da organização e por um longo período de tempo, um modelo global/regional poderá fornecer mais flexibilidade.

Observação

Os intervalos não podem ser "migrados" entre os dois modelos depois de integrados; eles devem ser totalmente desprovisionados e integrados novamente para usar o outro modelo.

Pré-requisitos

  • Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

  • Um intervalo de IPv4 de propriedade do cliente a ser provisionado no Azure.

    • Um intervalo de clientes de exemplo (1.2.3.0/24) é usado para este exemplo. Esse intervalo não é validado no Azure, portanto, substitua o intervalo de exemplo pelo seu.

Observação

Para problemas encontrados durante o processo de provisionamento, consulte Solução de problemas para o prefixo IP personalizado.

Etapas pré-provisionamento

Para utilizar o recurso BYOIP do Azure, execute as seguintes etapas antes do provisionamento do intervalo de endereços IPv4.

Requisitos e preparação para prefixo

  • O intervalo de endereços deve ser de sua propriedade e registrado em seu nome com um dos cinco principais Registros Regionais da Internet:

  • O intervalo de endereços não deve ser menor do que um /24 para que os Provedores de Serviços de Internet aceitem.

  • Um documento de ROA (Autorização de Origem de Rota) que autoriza a Microsoft a anunciar que o intervalo de endereços deve ser preenchido pelo cliente no site apropriado do RIR (Registro da Internet de Roteamento) ou por meio da respectiva API. O RIR exige que o ROA seja assinado digitalmente com a Infraestrutura de Chave Pública do Recurso (RPKI) do seu RIR.

    Para esta ROA:

    • O AS de Origem precisa estar listado como 8075 para a nuvem pública. (Se o intervalo se destinar a ser integrado ao US Gov Cloud, o AS de Origem precisará estar listado como 8070).

    • A data de término da validade (data de validade) precisa considerar a hora em que você pretende ter o prefixo anunciado pela Microsoft. Alguns RIRs não apresentam a data de término da validade como uma opção e ou escolhem a data para você.

    • O comprimento do prefixo deve corresponder exatamente aos prefixos anunciados pela Microsoft. Por exemplo, se você planeja trazer 1.2.3.0/24 e 2.3.4.0/23 para a Microsoft, ambos devem ser nomeados.

    • Depois que a ROA for concluída e enviada, como parte do processo de provisionamento, aguarde pelo menos 24 horas para que ela seja disponibilizada à Microsoft a fim de ser verificada para determinar a autenticidade e a correção.

Observação

Também é recomendável criar uma ROA para qualquer ASN existente que esteja anunciando o intervalo a fim de evitar problemas durante a migração.

Importante

Embora a Microsoft não pare de anunciar o intervalo após a data especificada, é altamente recomendável criar independentemente uma ROA de acompanhamento se a data de validade original tiver passado para evitar que as operadoras externas não aceitem o anúncio.

Preparação do certificado

Para autorizar a Microsoft a associar um prefixo a uma assinatura do cliente, um certificado público deve ser comparado com uma mensagem assinada.

As etapas a seguir mostram as etapas necessárias para preparar o exemplo de intervalo do cliente (1.2.3.0/24) para provisionamento na nuvem pública. Você pode executar esses comandos com o Windows PowerShell ou em um Console do Linux. Ambos exigem que o OpenSSL seja instalado.

  1. Um certificado X509 autoassinado deve ser criado para adicionar ao registro Whois/RDAP para o prefixo. Para obter informações sobre RDAP, confira os sites ARIN, RIPE, APNIC e AFRINIC.

    Usando o kit de ferramentas OpenSSL, os comandos a seguir geram um par de chaves RSA e criam um certificado X509 usando o par de chaves que expira em seis meses.

    ./openssl genrsa -out byoipprivate.key 2048
Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline

  2. Depois que o certificado for criado, atualize a seção de comentários públicos do registro Whois/RDAP do prefixo. Para exibir para cópia, incluindo o cabeçalho/rodapé BEGIN/END com traços, use o comando cat byoippublickey.cer Você deve ser capaz de executar esse procedimento por meio do Registro de Internet de Roteamento.

    Aqui estão as instruções para cada registro:

    • ARIN – edite os Comentários do registro de prefixo.

    • RIPE – edite os Comentários do registro inetnum.

    • APNIC – edite as Observações do registro inetnum usando MyAPNIC.

    • AFRINIC – edite as Observações do registro inetnum usando MyAFRINIC.

    • Para intervalos do registro LACNIC, crie um tíquete de suporte na Microsoft.

    Depois que os comentários públicos forem preenchidos, o registro Whois/RDAP deverá ser semelhante ao exemplo a seguir. Ao copiar, certifique-se de que não haja espaços ou retornos de carro e inclua todos os travessões:

    Captura de tela do exemplo de comentário do certificado.

  3. Para criar a mensagem passada para a Microsoft, crie uma cadeia de caracteres que contenha informações relevantes sobre seu prefixo e assinatura. Assine esta mensagem com o par de chaves gerado anteriormente. Use o seguinte formato, substituindo a ID da assinatura, o prefixo a ser provisionado e a data de validade correspondente à Data de Validade no ROA. Verifique se o formato está nessa ordem.

    Use o comando a seguir para criar uma mensagem assinada passada à Microsoft para verificação.

    Observação

    Se a data de término da validade não foi incluída na ROA original, escolha uma data que corresponda à hora em que você pretende ter o prefixo anunciado pelo Azure.

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
$byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''

  4. Para exibir o conteúdo da mensagem assinada, insira a variável criada a partir da mensagem assinada criada anteriormente e selecione Enter na solicitação:

    $byoipauthsigned

# Output
ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a/1234567a/ABCDEFG0a1b2c0//ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0/ABCDEFG0a1b2c0a1b2c0a1b21212121212/ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a==

Provisionamento e Comissionamento de um Prefixo IPv4 Personalizado

As etapas a seguir exibem o procedimento para provisionamento e comissionamento de um prefixo de endereço IPv4 personalizado com a opção de dois modelos: Unificado e Global/Regional. As etapas podem ser executadas com o portal do Azure, a CLI do Azure ou o Azure PowerShell.

Use o portal do Azure para provisionar e comissionar um prefixo de endereço IPv4 personalizado com o portal do Azure.

As etapas a seguir exibem o procedimento para provisionar um intervalo de clientes de exemplo (1.2.3.0/24) para a região Oeste dos EUA 2.

Observação

As etapas de limpeza ou exclusão não são mostradas nesta página, dada a natureza do recurso. Para obter informações sobre como remover um prefixo IP personalizado provisionado, consulte Gerenciar prefixo IP personalizado.

Entrar no Azure

Entre no portal do Azure.

Criar e provisionar um prefixo de endereço IP personalizado unificado

  1. Na caixa de pesquisa na parte superior do portal, insira IP Personalizado.

  2. Nos resultados da pesquisa, selecione Prefixos de IP Personalizados.

  3. Selecione + Criar.

  4. Em Criar um prefixo de IP personalizado, insira ou selecione as seguintes informações:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecionar sua assinatura
    Resource group Selecione Criar novo.
    Insira myResourceGroup.
    Selecione
    .
    Detalhes da instância
    Name Insira myCustomIPPrefix.
    Região Selecione Oeste dos EUA 2.
    Versão IP Selecione IPv4.
    Prefixo de IPv4 (CIDR) Insira 1.2.3.0/24.
    Data de validade do RoA Insira a data de validade do ROA no formato aaaammdd.
    Mensagem assinada Cole na saída de $byoipauthsigned da seção de pré-provisionamento.
    Zonas de Disponibilidades Selecione Com redundância de zona.

    Captura de tela da página de criação do prefixo de IP personalizado no portal do Azure.

  5. Selecione a guia Examinar + criar ou o botão azul Examinar + criar na parte inferior da página.

  6. Selecione Criar.

O intervalo é enviado para o Pipeline de implantação de IP do Azure. O processo de implantação é assíncrono. Você pode verificar o status avaliando o campo Estado comissionado do prefixo de IP personalizado.

Observação

O tempo estimado para concluir o processo de provisionamento é de 30 minutos.

Importante

Depois que o prefixo IP personalizado estiver em um estado "Provisionado", um prefixo IP público filho poderá ser criado. Esses prefixos IP públicos e quaisquer endereços IP públicos podem ser anexados aos recursos de rede. Por exemplo, interfaces de rede de máquina virtual ou front-ends do balanceador de carga. Os IPs não serão anunciados e, portanto, não poderão ser acessados. Para obter mais informações sobre uma migração de um prefixo ativo, consulte Gerenciar um prefixo IP personalizado.

Criar um prefixo de IP público com base em um prefixo de IP personalizado unificado

Ao criar um prefixo, você deverá criar endereços IP estáticos a partir do prefixo. Nesta seção, você criará um endereço IP estático com o prefixo criado anteriormente.

  1. Na caixa de pesquisa na parte superior do portal, insira IP Personalizado.

  2. Nos resultados da pesquisa, selecione Prefixos de IP Personalizados.

  3. Em Prefixos de IP personalizados, selecione myCustomIPPrefix.

  4. Em Visão geral de myCustomIPPrefix, selecione + Adicionar um prefixo de IP.

  5. Insira ou selecione as seguintes informações na guia Informações básicas em Criar um prefixo de IP público.

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione myResourceGroup.
    Detalhes da instância
    Nome Digite myPublicIPPrefix.
    Região Selecione Oeste dos EUA 2. A região do prefixo de IP deve corresponder à região do prefixo de IP personalizado.
    Versão IP Selecione IPv4.
    Propriedade do prefixo Selecione Prefixo personalizado.
    Prefixo de IP personalizado Selecione myCustomIPPrefix.
    Tamanho do prefixo Selecione um tamanho do prefixo. O tamanho pode ser tão grande quanto o prefixo de IP personalizado.

  6. Selecione Examinar + criar e, em seguida, Criar na próxima página.

  7. Repita as etapas 1 a 3 para retornar à página de Visão geral de myCustomIPPrefix. Você verá myPublicIPPrefix listado na seção Prefixos IP públicos associados. Agora você pode alocar IPs de SKU padrão a partir desse prefixo. Para obter mais informações, consulte Criar um endereço IP público estático de um prefixo.

Comissionar o prefixo de endereço IP personalizado unificado

Quando o prefixo de IP personalizado estiver no estado Provisionado, atualize o prefixo para iniciar o processo de divulgação do intervalo do Azure.

  1. Na caixa de pesquisa na parte superior do portal, insira IP personalizado e selecione Prefixos de IP personalizados.

  2. Verifique ou, se necessário aguarde para verificar se myCustomIPPrefix está listado em um estado Provisionado.

  3. Em Prefixos de IP personalizados, selecione myCustomIPPrefix.

  4. Em Visão geral de myCustomIPPrefix, selecione o menu suspenso Comissão e escolha Globalmente.

A operação é assíncrona. Você pode verificar o status avaliando o campo Estado comissionado do prefixo de IP personalizado. O status que mostrará inicialmente o prefixo como Comissionamento e depois se tornará Comissionado. A distribuição do anúncio não é concluída de uma só vez. O intervalo é parcialmente anunciado enquanto ainda está no status Comissionando.

Observação

O tempo estimado para concluir por completo o processo de programação é de 3 a 4 horas.

Importante

À medida que o prefixo IP personalizado faz a transição para um estado comissionado, o intervalo está sendo anunciado com a Microsoft da região local do Azure e globalmente para a Internet pela ampla rede de área da Microsoft em ASN (Número do Sistema Autônomo) 8075. Anunciar esse mesmo intervalo para a Internet de um local diferente da Microsoft ao mesmo tempo poderia potencialmente criar instabilidade de roteamento BGP ou perda de tráfego. Por exemplo, um edifício local do cliente. Planeje qualquer migração de um intervalo ativo durante um período de manutenção para evitar o impacto. Para evitar esses problemas durante a implantação inicial, você pode escolher a opção de comissionamento somente regional em que o prefixo de IP personalizado só será anunciado na região do Azure em que está implantado. Para obter mais informações, confira Gerenciar um BYOIP (prefixo de endereço IP personalizado).

Próximas etapas